Yahoo! Mail 上でXSS(クロスサイトスクリプティング)を引き起こすPOC( Proof of Concept : 攻撃の実証コード)が確認されました。リモートコード実行を引き起こすものではありませんが、情報漏洩に繋がる恐れがあります。
このPOCの仕組みは以下の通りです:
- Yahoo! Mail で以下のようなリンクを含むメールを受信:
http://search.yahoo.com/web/advanced?ei=UTF-8&p=%22%3E…. (略) - 一見 Yahoo! サイトにアクセスするリンクに見えますが、実際には攻撃者の指定する攻撃用サーバにアクセスします
- 攻撃用サーバ側で用意された Perl スクリプトがユーザが現在 Yahoo! Mail にログインしているセッションのクッキー情報を取得
- 取得したクッキー情報を利用して攻撃者がユーザの Yahoo! Mail 内の情報にアクセスできる可能性が生じます
この攻撃には攻撃用サーバの用意が必要であるため、攻撃実行のハードルは若干高いように思えます。しかし、不正プログラムのダウンロードや一般Webサイトの改ざんなど不正サーバを利用したWeb経由攻撃が多い現状を考えると、攻撃者にとって攻撃用サーバの用意は特に難しいことではないでしょう。まだこのPOCを転用した攻撃は確認されていませんが、Yahoo! Mail 使用者は特に上記のようなリンクには気をつけた方がよいでしょう。もちろん不審なメールは開かないのが一番です。
このPOCをトレンドマイクロでは「EXPL_YAHOXSS.A」の検出名で対応(パターンファイル4.545.00より)しています。